멤캐시드 서버를 보호하는 것 외에도 Akamai Prolexic 같은 DDoS 방어 서비스를 사용해 DDoS 공격으로부터 웹사이트를 보호할 수 있습니다.
멤캐시드 DDoS 소개
최근 몇 년 동안 분산 서비스 거부(DDoS) 공격 건수와 정교함이 점차 증가하고 있습니다. 공격자가 공격을 증폭하기 위해 사용하는 기법에는 멤캐시드 서버의 취약점 악용이 있습니다. 이 문서에서는 멤캐시드 DDoS의 작동 방식, 그 효과가 뛰어난 이유, DDoS를 방어하기 위해 취할 수 있는 조치에 대해 설명합니다.
멤캐시드란 무엇일까요?
멤캐시드는 고성능 오픈 소스 분산 메모리 및 데이터베이스 캐싱 시스템입니다. 주요 값은 자주 접속하는 데이터를 메모리에 캐싱해 동적 웹사이트와 웹 애플리케이션의 속도를 높이는 데 주로 사용됩니다. 멤캐시드는 Facebook, Twitter, YouTube 등의 기업에서 널리 사용됩니다. 또한 멤캐시드는 UDP를 지원하고 공격 기법의 주요 원인이 됩니다.
DDoS 공격이란 무엇일까요?
분산 서비스 거부(DDoS) 공격은 감염된 다수의 디바이스(봇넷)가 표적 웹사이트나 서버에 트래픽을 폭증시키는 사이버 공격의 한 종류입니다. 해커는 표적에 과부하를 주는 엄청난 양의 트래픽을 사용해 정상적인 사용자나 인증 등의 기능에 접속할 수 없게 만듭니다.
멤캐시드 DDoS 공격이란 무엇일까요?
멤캐시드 공격은 공격자가 취약한 멤캐시드 서버로 HTTP GET 요청을 보내는 증폭 공격의 한 종류입니다. 취약한 서버는 요청을 받으면 큰 증폭 계수와 함께 의도된 표적으로 UDP 패킷을 전송합니다. 사이버 보안 전문가들은 일부 멤캐시드 증폭이 대량의 UDP 데이터를 반환하도록 요청하는 초기 ‘GET’ 요청의 51000배에 도달할 수 있다고 추정합니다. 이 요청은 피해자의 IP 주소에서 온 것처럼 보이도록 소스 IP 주소를 스푸핑하도록 설계되어 있습니다. 멤캐시드 서버가 응답하면, 데이터를 피해자의 IP 주소로 전송해 트래픽을 증폭시키고, 피해자의 서버를 압도합니다.
멤캐시드 DDoS 공격은 어떻게 이루어질까요?
멤캐시드 DDoS 공격은 다음과 같은 단계로 이루어집니다.
- 공격자는 인터넷에서 취약한 멤캐시드 서버를 스캔합니다.
- 공격자는 노출된 멤캐시드 서버로 작은 HTTP GET 요청을 보내 대량의 데이터 UDP 멤캐시드 페이로드를 반환하도록 요청합니다. 이 요청은 피해자의 IP 주소에서 온 것처럼 보이도록 소스 IP 주소를 스푸핑하도록 설계되어 있습니다.
- 멤캐시드 서버는 피해자의 IP 주소로 대량의 데이터를 전송해 요청에 응답합니다.
- 데이터 센터에 있는 피해자의 서버는 악성 반사 공격 트래픽에 압도되고, 정상적인 사용자가 접속할 수 없게 됩니다.
멤캐시드 DDoS 공격이 효과적인 이유는 무엇일까요?
멤캐시드 DDoS 공격은 공격 트래픽의 페이로드를 50000배까지 증폭할 수 있기 때문에 효과적입니다. 즉, 작은 요청으로 엄청난 양의 트래픽을 피해자의 서버나 데이터 센터로 전송할 수 있습니다. 또한 멤캐시드 서버는 고속 네트워크에 연결되는 경우가 많기 때문에 트래픽이 매우 빠르게 전송되므로 방어하기가 어렵습니다. 또 다른 일반적인 이유는 공격자가 DDoS 공격을 생성하기 위해 자체 인프라를 유지 관리할 필요가 없기 때문입니다. 공격자는 IP 스푸핑, UDP 포트 공격, 기타 표적 엔드포인트에 퍼블릭 인터넷 리소스를 활용할 수 있습니다. Akamai가 기록한 최대 규모의 DDoS 공격에는 멤캐시드 프로토콜을 통한 1Tbps 이상의 공격 트래픽이 포함되었습니다.
멤캐시드 DDoS 공격을 어떻게 방어하나요?
멤캐시드 DDoS 공격으로부터 시스템을 보호하는 데 다음과 같은 옵션을 사용할 수 있습니다.
- UDP 비활성화: 멤캐시드 서버는 기본적으로 UDP 프로토콜을 사용하므로 스푸핑이 쉽습니다. UDP를 비활성화하고 TCP만 허용하면 스푸핑된 요청이 멤캐시드 서버에 도달하는 것을 막을 수 있습니다.
- 방화벽: 방화벽을 사용해 알려진 악성 IP 주소에서 멤캐시드 서버로 전송되는 트래픽을 차단할 수도 있습니다.
- 전송률 제한: 또 다른 옵션은 수신 트래픽의 전송률을 제한해 멤캐시드 서버에 대한 트래픽 급증을 방지하는 것입니다.
- 멤캐시드 업데이트: 보안 패치가 포함된 최신 버전의 멤캐시드를 실행하고 있는지 확인합니다.
- 멤캐시드 DDoS를 직접 표적화: 이러한 종류의 공격에 클라우드 DDoS 방어 기능을 활용합니다. 높은 증폭 계수와 오픈 멤캐시드 서버 수를 감안하면 데이터 센터에서 로컬 방어 조치를 구현함으로 인해 용량 문제가 발생할 수 있습니다.
자주 묻는 질문(FAQ)
그렇지 않습니다. 멤캐시드는 증폭 공격에 사용될 수 있는 유일한 서비스는 아닙니다. DNS, NTP, CLDAP 같은 다른 서비스도 비슷한 공격에 사용되고 있습니다.
취약점 스캐너를 사용해 멤캐시드 서버의 취약점을 테스트할 수 있습니다. 취약점이 발견되면 가능한 한 빨리 보안 조치를 취해야 합니다.
멤캐시드 및 기타 DDoS 공격 방어
멤캐시드 DDoS 공격은 웹사이트와 서버를 다운시킬 수 있는 심각한 위협입니다. 공격자는 멤캐시드 서버의 취약점을 악용해 공격을 증폭하고 표적을 압도할 수 있습니다. 그러나 UDP 비활성화, 전송률 제한, 멤캐시드 서버 업데이트 등의 조치를 취하면 그러한 공격으로부터 자신을 보호할 수 있습니다. 끊임없이 변화하는 사이버 공격 환경에서 보안을 유지하려면 항상 경계를 늦추지 않고 방어 체계를 최신 상태로 유지해야 합니다.
고객이 Akamai를 선택하는 이유
Akamai는 온라인 비즈니스를 지원하고 보호하는 사이버 보안 및 클라우드 컴퓨팅 기업으로, 시장을 대표하는 보안 솔루션, 탁월한 위협 인텔리전스, 글로벌 운영팀이 어디서나 기업 데이터와 애플리케이션을 보호하기 위한 심층 방어 기능을 제공한다. Akamai의 풀스택 클라우드 컴퓨팅 솔루션은 세계에서 가장 분산된 플랫폼에서 성능과 경제성을 제공한다. 글로벌 기업들은 비즈니스 성장에 필요한 업계 최고의 안정성, 확장성, 전문성을 제공하는 Akamai를 믿고 신뢰한다.